Data protection

Gli obblighi riguardanti la messa in sicurezza dei dati personali trattati al verificarsi di accessi fisici non autorizzati.

In riferimento all’accesso non autorizzato avvenuto nella notte del 21 maggio sono a comunicare quanto di seguito riportato.

Premessa

Ai sensi del regolamento UE 2016/679 (di seguito, “Regolamento”) si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15 del Regolamento).

Il regolamento stabilisce che i dati personali siano “trattati in maniera da garantire un’adeguata sicurezza (omissis) compresa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”), (art. 5, par. 1, lett. f) del Regolamento).

Alla luce del principio di integrità e riservatezza il Titolare deve (cfr. “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate dal Comitato Europeo per la Protezione dei dati – EDPB -, di seguito “Comitato”, il 20 ottobre 2020:

  1. Valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;
  2. Tenere conto, non appena possibile, dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;
  3. Definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per svolgere le proprie funzioni, e limitare l’accesso di conseguenza;
  4. Proteggere i dati personali da modifiche e accessi non autorizzati e accidentali, sia durante il loro trasferimento che durante la conservazione;
  5. Registrare gli eventi rilevanti ai fini della sicurezza delle informazioni e monitorandoli per rilevare in modo tempestivo eventuali incidenti di sicurezza rilevanti.

L’art. 32 del regolamento, concernente la sicurezza del trattamento, stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (omissis) (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’acceso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

La titolarità dei trattamenti di dati personali comporta una responsabilità in capo al soggetto che riveste tale ruolo, in ordine alle scelte effettuate con riferimento a finalità e mezzi degli stessi trattamenti.

I trattamenti svolti nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali, anche sulla salute (art. 9 Regolamento) ed, eventualmente, i dati personali relativi a condanne penali e reati (art. 10 Regolamento).

Ciò, tenendo altresì conto delle finalità dei trattamenti e della natura dei dati personali trattati, appartenenti anche a categorie particolari.

Pertanto, gli obblighi imposti dal regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1,lett. da a) a d), tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano.

Come noto, gli endpoint sono dispositivi fisici che si connettono e scambiano informazioni con una rete di computer. Per quanto di interesse in questa sede, alcuni esempi di endpoint sono: dispositivi mobili, computer, desktop, macchine virtuali, dispositivi incorporati e server.

La sicurezza (o protezione) degli endpoint permette di proteggere l’accesso agli stessi ad opera di soggetti malintenzionati.

 I criminali informatici, e non solo, prendono di mira gli endpoint perché sono dei punti di accesso ai dati aziendali e, per natura, vulnerabili agli attacchi. Si trovano all’esterno della sicurezza della rete e dipendono dalle misure di protezione applicate dagli utenti, il che lascia inevitabilmente spazio all’errore umano. 

La sicurezza degli endpoint è fondamentale sia in ottica “dato-centrica” che in riferimento al potenziale danno di immagine e/o economico, a carico del Titolare del trattamento (i.e., la ASL di Pescara).

I rischi cui può andare incontro il Titolare del trattamento, in caso di accessi non autorizzati ai dati contenuti nei pc/server e/o negli archivi cartacei sono quelli derivanti dalla:

a) distruzione,

b) perdita,

c) modifica,

d) divulgazione non autorizzata,

e) accesso, in modo accidentale o illegale, ai dati personali. (art. 32.1 del Regolamento);

per i quali è prevista la irrogazione di una sanzione amministrativa pecuniaria fino a 10 milio di euro (cfr. art. 83, par. 4, lett. a) del Regolamento).

Considerazioni

  1. Ad oggi lo scrivente non è stato informato, per le vie ufficiali, dal Titolare del trattamento dell’accaduto e delle possibili conseguenze in termini di riservatezza, integrità e disponibilità dei dati. (cfr. art. 38 del Regolamento che impone al titolare del trattamento di assicurarsi che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali).

L’accaduto di cui si discetta attiene all’accertamento delle misure di sicurezza adottate dal Titolare del trattamento a tutela dei diritti e delle libertà degli interessati (in primis, pazienti e dipendenti) i cui dati personali sono stati oggetto di trattamento.

Le misure di sicurezza si distinguono in misure tecniche ed organizzative ed investono gli ambiti della sicurezza fisica e ambientale e della sicurezza logica.

Misure di sicurezza fisica e ambientale

  • Per quanto attiene al controllo dell’ambiente (cd “sicurezza fisica e ambientale”), come più volte ribadito (cfr. da ultimo, nota prot. n. 2997/24 del 10.1.2024, Relazione del Responsabile della Protezione dei Dati riferita al III° quadrimestre dell’anno 2023), tale specifico aspetto prende in esame la esistenza di:
  •  dispositivi antifurto;
  •  telecamere a circuito chiuso;
  •  sistemi antintrusione alle finestre dei locali situati a piano terra o, comunque, facilmente accessibili;
  •  sistemi antincendio;
  •  autenticazione dei visitatori che accedono agli uffici, alle UU.OO., agli ambulatori e al CED;
  •  porte con chiusura;
  •  armadi con serratura, ecc.,

al fine di evitare manipolazioni fisiche dei sistemi/pc. Le misure richiamate richiedono la predisposizione di un piano di interventi, frazionabile anche su più anni, la cui realizzazione non può più essere disattesa.

Di conseguenza, per un corretto controllo ambientale è necessaria un’analisi di dettaglio delle esigenze specifiche che prevede il coinvolgimento di una serie di funzioni aziendali e una pianificazione strategica accurata. Il coordinamento tra gli esperti di sicurezza, i responsabili delle operazioni, il personale tecnico e altre parti interessate, può assicurare che l’approccio alla sicurezza fisica ed ambientale sia completo.

  • Quanto riportato al punto 2 rende necessario che il titolare del trattamento disponga un controllo focalizzato alla presenza di sistemi di sicurezza fisica con un piano di interventi su larga scala con la finalità di garantire, nel più breve tempo possibile, l’adozione delle prescrizioni normative in tale specifico ambito.

Misure di sicurezza logica

Riguardo, invece, alle misure di sicurezza logica, (cfr. nota prot. n. 37803/24 del 17.4.24: gli obblighi del titolare riguardo all’adozione delle misure di sicurezza: profili di non conformità. Comunicazione n. 38/24) si torna a rilevare la necessità di:

  • predisporre una serie di misure di sicurezza tecniche ed organizzative relative alla gestione delle postazioni di lavoro informatiche (c.d. endpoint)distribuite all’interno della ASL di Pescara ed in uso da parte del personale ad esse preposto. (cfr. nota prot. n. 0030844/23 del 07/04/2023: la gestione degli endpoint e le relative misure di sicurezza tecniche ed organizzative da applicare);
  • proteggere le configurazioni hardware e software sulle postazioni di lavoro/laptop/device mobili utilizzate nell’ambito della erogazione del servizio;

4.2.1 tutti gli endpoint aziendali dovranno essere protetti attraverso una o più delle seguenti misure di sicurezza:

a. tramite password del BIOS o equivalente;

b. tramite cifratura del disco o equivalente;

c. tramite criteri di sicurezza impostati con una piattaforma MDM (Mobile Device Management); d. disabilitando la possibilità di avvio mediante device removibile;

  • adottare sistematicamente la “pseudonimizzazione” dei dati, che è un’altra misura di sicurezza, che consiste nel non conservare i dati personali in chiaro ma trasformarli mediante, appunto, pseudonimizzazione, al fine di garantirne una maggiore protezione in caso di accessi ad essi da parte di persone non autorizzate;
  • abilitare la crittografia dei dischi delle postazioni di lavoro/laptop/device mobili utilizzate;
  • implementare soluzioni in grado di assicurare la cifratura dei dati – per quanto di strettissimo interesse in questa sede – nelle modalità “in use” ed “at rest”, quest’ultima forma di cifratura impedisce, nel caso di sottrazione di pc o altro device, che sia violato il principio della riservatezza in quanto il contenuto dello strumento asportato non è accessibile;ricorrere all’autenticazione a più fattori, in modo da ridurre al minimo la probabilità di accesso non autorizzato, partendo dai sistemi ritenuti più critici;ricorrere a tecniche di protezione (quali ad es: controllo accesso, data loss prevention system, ecc.) in grado di inibire la sottrazione/perdita accidentale dei dati (data leak);adottare una procedura di backup aggiornata, sicura e testata; (cfr. nota prot. n. 46000/23 del 29.5.23);
  • valutare di estendere, a tutta la ASL di Pescara, il ricorso a piattaforme in share in modo da consentire ai dipendenti di potere condividere i file in sicurezza all’interno di uno spazio protetto dall’accesso di soggetti esterni non autorizzati; in questo modo i pc assegnati ai dipendenti svolgerebbero il ruolo di pc client senza dovere conservare dati personali, almeno quelli appartenenti a categorie particolari.

Formazione del personale.

  • in linea con quanto stabilito dalle ISO 27001:2013 e 27001:2022, per una corretta implementazione delle misure di sicurezza logica, ma anche fisica, si ribadisce l’assoluta necessità di:
  • in fase di assunzione, verificare il background dei futuri dipendenti, in tema di sicurezza delle   

informazioni;

  • sottoporre il personale in servizio ad un processo formativo in materia di protezione dei dati; prevedendo, su base annuale e, quindi, ripetuta nel tempo, un programma di formazione generale da perfezionare con un, successivo, programma di formazione specifico. (cfr., da ultimo, email dell’8 aprile 2024, ore 16:23).

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

trattamento-dati
Privacy

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

sicurezzainformatica
La redazione del Piano di risposta agli incidenti di sicurezza informatica.
10 Dicembre 2024
informatica uffici
Piano triennale per l’informatica nella Pubblica Amministrazione Edizione 2024-2026 E IL RUOLO DEL RESPONSABILE PER LA TRANSIZIONE DIGITALE.
18 Marzo 2025
Il programma dell’attività ispettiva del Garante Privacy
Il programma dell’attività ispettiva del Garante Privacy per il primo semestre 2025.
28 Marzo 2025

Start typing and press Enter to search